テクノロジー

楽天証券が絵文字使う多要素認証を停止、サーバー過負荷でログインしづらく

1: ockeghem 2025/06/09 18:14

ワンタイムパスワードとして選択する絵文字を2種類から4種類に増やしたところサーバーに負荷がかかってログインしづらくなった。6月9日中に復旧見込みとのこと。そんなに負荷が変わるものですかね

2: shidho 2025/06/09 19:22

攻撃者がワンタイムパスワードを総当たり攻撃したのでは(そんなことが出来るかはともかくとして)。

3: hatebu_admin 2025/06/09 19:32

クソワロタ。さすがわーくにのAmazonやで!

4: sgo2 2025/06/09 19:32

アプリの仕様(起動時に自動ログイン/非アクティブ化で即ログアウトに出来る)との食い合わせが悪い感

5: prograti 2025/06/09 19:44

乱数生成は実装によってはマルチスレッドで性能が悪化したりするけど原因に興味ありますね

6: ykhmfst2012 2025/06/09 20:03

事前検証も事後テストも十分にせず、思いつきを見切り発車して大爆発。を短期間に複数回繰り返す楽天。さすがすぎる。カヤックから面白法人の名前譲ってもらったら?

7: haususuahahdh 2025/06/09 20:14

バカじゃねーの

8: eroyama 2025/06/09 20:31

かなりかわいい方式なのでこのままかわいいを突き詰めていってほしい/頻繁に形式を変えたら偽サイト側の対応が追いつかずにsecurityが向上するだろうね

9: miyauchi_it 2025/06/09 20:38

えぇ……

10: thekoruku 2025/06/09 20:43

多要素認証を停止しても「安全性に大きな影響はない」と言い切れるならなんでそもそも導入したの?2文字を4文字に増やそうとしたの?

11: nakakzs 2025/06/09 20:46

楽天証券に口座は持ってないけど、なんだかこういうの見ていると、楽天系のサービス(もれなく金の流れがある)全部解約した方がいいんじゃないかなあと思い始めている。

12: newforms 2025/06/09 20:50

iSPEEDは現時点でも絵文字2種みたい

13: ustam 2025/06/09 21:03

指数関数的に解読の難易度が上がるなら指数関数的に負荷も高まるわよね。その分処理能力を高めなければならなかったわけだけど…大丈夫か?この会社

14: kiki-maru 2025/06/09 21:23

何故そんなに負荷が変わるのか謎だけど、それよりも何故ログイン如きで過負荷になる独自仕様にこだわるのかが一番の謎。知見積み上げたものの方が遥かに安全なのに。アホが考えた独自のセキュリティとか怖すぎる。

15: yoiIT 2025/06/09 22:09

謎仕様

16: kei_1010 2025/06/09 22:17

そもそもメールが来ない。迷惑フォルダにも入ってない。

17: suihan74 2025/06/09 22:31

これ毎回クソ面倒くさいのでなんとかしてくれめんす

18: soybeancucumber 2025/06/09 22:37

IT企業っていうの金輪際やめてくれ、真面目に。

19: mr_mayama 2025/06/09 22:40

アレまじで最悪な体験だった

20: uunfo 2025/06/09 22:42

そんなことある?そもそも自動でスケールアウトしないんか

21: hagane 2025/06/09 22:45

普通にTOTP入れればいいのに…

22: pqw 2025/06/09 22:56

10種の絵から2個を順番通りに押すという10頭立て馬単みたいな単純で組み合わせ数の少ない謎システムだったんだけど、文句が出たらなんとそのまま20頭立て4連単にしてきたんだよなぁ。普通にやってくれ頼むから。

23: manaten 2025/06/09 23:01

デイトレやってる配信者がこれのせいで目をつけてた取引逃しててかわいそうだった。楽天証券とかレガシーの上に責任が乗っかってるからまともな改修しづらいのだろうというのは予想に難しくない

24: sumomo-kun 2025/06/09 23:04

アプリは生体認証にしとけ。そっちのがよっぽど安全だろ。

25: Caerleon0327 2025/06/09 23:05

面倒くさいよね

26: cinq_na 2025/06/09 23:08

面倒だってクレームがわんさか届いたんでしょ。他社のより遥に面倒な仕組みだ。大和はワンパスのメールが半日遅れで届くダメダメだし(一部プロバイダとの相性が悪いという噂も)

27: n2sz 2025/06/09 23:09

独自の認証作ったのが裏目に出たのかね。そんなに重い処理なのかな。

28: aharux64 2025/06/09 23:12

ustam 楽天の擁護はしないが、解読のコストが指数関数的だからといって生成コストもおなじ比率で上がるわけないでしょ。実用的な公開鍵暗号が存在しなくなる。RSAやSSLのしくみとか勉強したほうがいい

29: laislanopira 2025/06/09 23:12

虚構新聞ではなかった

30: gm91 2025/06/09 23:14

ズコー

31: yyamano 2025/06/09 23:38

絵文字による多要素認証を再開するということは、リスクベースでは不十分という判断なのだろうか。めちゃくちゃ使いにくいのだけど。

32: orange_putting 2025/06/09 23:39

このめんどい仕様のおかげで最近NISA口座あんま見なくなった。見ずに放っておくべきというNISAにはぴったりかも…

33: tsutsuji360 2025/06/09 23:39

関係者は、楽天的だっね

34: aomvce 2025/06/09 23:44

楽天が脆弱すぎる。Azureかよ笑

35: hiroomi 2025/06/10 00:29

メモリリークやリソースの過剰消費でもあるのかね。

36: oteguro 2025/06/10 00:53

あのよくわからないマーク打ち込むよりも普通に二段階認証アプリとか使わせてくれないかな。

37: tomei10 2025/06/10 01:26

絵文字認証とか言う謎仕様やめろ。普通のOTPとかにしろよ。まあ、ログインが面倒くさくなって証券口座を見なくなったというメリットはあるけども。

38: yoh596 2025/06/10 01:26

老眼の母は絵文字の違いを視認しにくくて、かつズーム(拡大)ができないので、はっきり言って糞だと思ってた。お願いです。廃止してください。

39: zou_crypto 2025/06/10 03:19

絵文字認証、ものすごいやりにくいから、やめて欲しい。普通に数字にしてよー。

40: nobori_lupin 2025/06/10 04:03

楽天市場メインだったけど、ログイン面倒だから積み立て以外は他の口座に変えたい。

41: morimarii 2025/06/10 04:11

数字認証なくなってた

42: letsspeak 2025/06/10 04:22

事前に配布している物理チートシートにランダム絵文字があるやつかと思ったら、普通にメールで絵文字(画像)送ってるのか。なんじゃそりゃ

43: yoppema 2025/06/10 05:31

楽天証券に興味はあったけど、SBI証券のままで良さそうだ。

44: kazyee 2025/06/10 06:37

楽天証券のは知らんが絵文字は人間に優しくないとは思う。/yahooみたく登録してある電話番号に数字をSMSで送るのが考えることが少なさそうだが、ブラウザで完結にこだわった人が多いのだろうか。

45: tzk2106 2025/06/10 07:18

素直にAuthenticatorじゃダメなのかな?あの絵文字メールにどえらいセキュリティ効果があるの?

46: sds-page 2025/06/10 07:19

普通にスマホのauthenticator使わしてくれ。老人が使えないから導入見送ってるんだろうけど老人向けには絵文字認証残しといていいから

47: Edge_Walker 2025/06/10 07:57

楽天グループは利益を上げてもみんなモバイルに持って行かれちゃうからまともな設備投資ができていないのではと疑ってしまう。

48: kensukeo 2025/06/10 08:50

多要素認証、3回間違ったら1時間ロックでいいやん

49: clairvy 2025/06/10 08:59

さすが楽天

50: pendamadura 2025/06/10 09:00

馬鹿じゃん

51: kerodon 2025/06/10 09:09

“「仕様変更した件も含め、サーバーに負荷がかかったためだ」(広報)とする。” オンボロだなあ。

52: Cald 2025/06/10 09:16

今見たら2種類の絵文字で再開してた

53: circled 2025/06/10 09:29

SBI証券は電話番号認証を強制適用したせいで、ログイン出来ないユーザを大量に生み出してX上では結構酷い騒ぎになってる。最近の証券会社、運用がクソ過ぎる

54: remonoil 2025/06/10 09:49

改修や運用が難しいのは理解するが、ならなぜこんな思い付きそのままなオモシロ認証作ってしまうのか。もっと正攻法でやってほしい

55: Hasen 2025/06/10 09:56

普通に4桁番号でやってよ…って思う

56: strawberryhunter 2025/06/10 10:02

この時代にサーバー過負荷なんて嘘でしょ。

57: dodecamin 2025/06/10 10:13

2つ並べる認証だと90通り。3回トライできるので3.3%の確率で突破できる。こんなガバガバな多要素認証だと使い物にならない。金融庁はネット証券の業務要件に安全な多要素認証を必須化するべき。

58: hatest 2025/06/10 10:16

楽天証券に口座持ってるだけでリスクしかない

59: s17er 2025/06/10 10:16

二段階認証の方式は複数用意してくれると助かる

60: wdnsdy 2025/06/10 10:17

authenticatorはアプリを開いて戻るだけで自動で認証してくれたりする(認証の数字を自分で入れなくてもいい)から、そっちのほうが数字とか絵文字とかいちいち覚えなくてもいいし、みんな楽になると思うんだけど

61: send 2025/06/10 10:33

どうしても謎認証やりたいならやってもいいけど、Authenticator 使う選択肢はくれ

62: teppeis 2025/06/10 10:34

絵文字の計算量すげーw

63: Vudda 2025/06/10 10:35

スマホでログインするためメールに届いた絵柄を確認しようとメールアプリに切り替えたら認証がリセットするようで結局パソコンからメールを確認→スマホでログインするハメに、バカなの?って思った

64: fujihiro0 2025/06/10 10:41

なぜに Passkey にしないのか。老人には難しいからか。気持ちはわからんでもないが、すべての web service は passkey に移行すべき。

65: saikyo_tongaricorn 2025/06/10 10:46

本番環境でやらかしちゃった

66: lsdxtc 2025/06/10 10:48

今日は先週までの絵文字10個から選ぶのに戻ってるな。メールが楽天証券の認証メールと取引画面にログインがありましたメールで埋まっていくの見ると、大量のメルマガ送ることを社是とする楽天系列だなって感じる。

67: pikopikopan 2025/06/10 10:59

ここしばらく見れなかった。今日ようやく見れたが絵文字面倒なのでやめて欲しい。数字のがいい。

68: vvvf 2025/06/10 11:27

なんで証券会社って頑なにTOTP(Googleとかが使ってるやつ)の導入を拒むんだろうね/絵文字でも中継型フィッシングはできるし経路的にTOTPより脆弱

69: ultimatebreak 2025/06/10 11:30

各社なんかよーわからん独自の認証使わさせられるけど、スタンダードなやつ使わせろよ

70: tukikoko 2025/06/10 11:31

authenticatorにしてほしい。 あれって今はGoogleとMSのが共通だから予備としてどっちにも入れられるし。 独自のパスキーやめて。複数の端末だと使いにくい。

71: deep_one 2025/06/10 11:35

スマホでログインできない…の修正かと思ったら、入力する文字数を増やしていた。なんでだ?

72: namisk 2025/06/10 11:41

数字のTOTPはリアルタイム・フィッシングには脆弱なので絵文字やってるのは理解するけどさ、正攻法はパスキー。独自仕様でモタモタしてないでパスキー対応はよしてほしい。

73: shikiarai 2025/06/10 11:41

証券会社って基本的にクソケチなイメージあるからセキュリティコストに関して安物買いの銭失いをしてるんだろうなと言う感想

74: lli 2025/06/10 11:45

これを機にパスキーやTOTPに切り替えて欲しい。独自方式はやめてくれ。利用者側が慣れた方がメリットが大きい。

75: houyhnhm 2025/06/10 12:26

多分どこかが機能売り込んだんじゃと想像。

76: akinyon1121 2025/06/10 12:31

毎度お馴染み劣化車輪の再発明

77: dollarss 2025/06/10 12:42

こういうわけのわからん独自実装するからノウハウも知見もissueも参照出来ずにトラブルになるのよ。普通に6238使っとけよ〜

78: minboo 2025/06/10 13:39

あれほんとめんどくさかった。ログインできなくてスリッピングに間に合わず追証かかる人も出てたんじゃないかなぁ

79: otation 2025/06/10 14:15

証券会社ってキラキラしてないから転職の応募も少なくて技術力低いままなんだろうな。地味過ぎてもキラキラ過ぎてもダメ

80: paulownia 2025/06/10 15:24

ここはエンジニアの質が悪いのか?それともビジ職が強すぎて技術的な正論が全く通らないのか?その両方か?

81: ys0000 2025/06/10 16:02

楽天って結構優秀なエンジニアがいる印象だったが、証券はそうでもないのかな。ググったら去年からみずほのシステム使ってるみたいな話もあるからこれも外注して実装してもらってるのかも?

82: leiqunni 2025/06/10 16:25

IDとパスワードを入力した後に、登録してあるメアドに動物とか数字が書いてあるメールがおくられるの?それを人力で入力させる意味は?メールのリンククリックさせればよくね?

83: daybeforeyesterday 2025/06/10 18:09

うーむ